前已述及,信息技术给组织的内部控制带来了巨大的挑战,同时也造成一系列的审计风险:审计可视线索的自然消失;电子化会计数据易于被滥用、篡改和丢失;缺乏原始记录;会计电算化软件种类繁多,再加上各自的保密性,给审计工作带来了困难;控制方面的风险;网络传输和数据存储故障或软件的不完善,使会计数据出现异常错误变成了可能;审计过程的风险;审计范围扩大的风险——必然会使得审计工作风险加大,下面就内部审计与外部审计情况分开讨论。
(一)内部审计方面
为了防范由于过多依赖信息技术所产生的风险,组织通常实施信息技术环境下所特有的控制程序。信息技术环境中的内部控制与纸质环境中的内部控制有很大的区别。在《审计准则公告》第3号中,美国执业会计师协会把信息系统控制分为一般控制(general controls)和应用控制(application controls)。前者是指与所有的或者绝大多数的信息技术环境下的活动都相关的控制,例如对计算机设备以及数据文件使用的授权控制等,它关系到所有的EDP行为;后者则与某种单项应用程序相关,例如有关支付卖方货物的应付账款账户的应用程序等,它关系到与特别会计事项有关的控制。需要指出的是,除此之外还有补充性控制(compensating controls),这一概念也是在《审计准则公告》第3号中首次被引用,其含义是“在一个基于计算机的会计系统中,会计控制最有可能提供一种或多种控制用于在缺少其他重要控制的情况下进行有效的补充”。
信息技术环境下的审计过程与手工会计系统下的审计过程具有巨大的差异,信息技术环境对内部审计产生了多方面的影响,包括内部审计对象、审计人员、审计方式等等,从而带来特定环境下的多种审计风险。
1.信息技术对审计对象的影响
信息技术环境下:①组织的结构发生了很大变化。职责与知识更加集中导致了内部控制风险的增加,同时,不相容职责很可能集中在信息系统部门,产生内部控制无法察觉的集体舞弊,给内部审计人员造成了极大的审计风险;②程序和数据更加集中增加了数据及程序被非法使用的风险,使得日后审计线索的追踪困难重重;③计算机环境下数据处理性质发生了很大变化,内部控制过程通常是“隐身”的,审计人员要面对这样一个控制系统,从中索取有关的审计证据,所面临的审计风险将会更大。
2.信息技术对审计人员的影响
信息系统对审计人员的影响要从两方面说起:
一是审计人员将信息技术作为审计时的工具,审计活动很大程度上依赖于这种技术。信息化大背景下发展起来的组织,很少有信息不被计算机处理,审计计划和程序应用于这样的实体,必然要依赖信息技术,而我们对商业操作的管理和监督有赖于我们对商业技术的有效认识。基于EDP技术建立起来的管理信息系统(MIS)使得内部审计人员在开展审计工作时必须了解整个组织各个层面的MIS。在了解信息技术过程当中,我们必须深入组织,了解组织中各种各样的数据库、数据库内数据类型和数量以及获取这些数据的方法;了解组织在信息技术环境下的商业运作,要知道哪些数据被处理以及怎样处理;对信息系统产生的输出文件,学会使用特别的工具软件或熟悉数据库结构化查询语言以识别什么样的输出是所期待的;内部审计人员往往应作为信息系统开发的参与者、信息系统某部分功能的用户或者是系统的控制人员。
二是审计人员要对信息系统本身的控制作用进行审计,审计边界大大扩大了。信息技术从根本上改变了组织内部经营和外部主体联络的方式——重新定义合作的界限,这使得组织内外能够共享信息并提高经营效率;同时,激烈的竞争提高了对生产率、成本、效率和信息的需求。这些变化正在增加“对计算机系统的性能、信息的安全性、数据保密性控制、质量认证工作进行确认的需求” 。在这种期望和压力日益增长的挑战性背景之下,内部审计部门必须以合理的成本来提供更多样化的减少组织风险的服务,从而增加信息系统控制的安全性。
三是应着力培养信息系统审计师。随着计算机技术在管理中的广泛运用,控制计算机环境风险和信息系统运行风险是组织管理咨询和服务的重点。这就常常需要高薪聘请国际信息系统审计师进行内部审计。信息系统审计师,也称IT审计师或IS审计师,是指一批专家级人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。信息系统审计师是由“国际信息系统审计与控制协会(ISACA)”认证的。ISACA是国际上唯一的信息系统审计师专业组织,其会员就是信息系统审计师,其主要从事的工作包括:向客户提供与信息系统相关的服务,在财务审计中对被审计单位的信息系统的了解、测试和评价以及计算机辅助审计技术的运用等方面。一般的信息系统审计师都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财会和单位内部控制有深刻的理解。
如果内部审计人员不能很好地做到了解整个组织的MIS,对组织信息系统的输入输出没有一定的认识,或者说对信息技术很陌生,不能以自己的专业知识解决信息技术环境中的特殊问题,都会给组织的内部审计带来很大的风险,不能适应信息时代的内部审计要求。
3.信息技术对审计方式的影响
信息技术环境下的审计包括“绕过计算机审计”和“穿过计算机审计”。
“绕过计算机审计(Audit Around the Computer)”最早出现在上世纪50年代,这时信息系统技术还处于起步阶段,各种系统结构与组织环境都较为简单,计算机技术还没有得到普及,审计人员也未来得及掌握这些技术。这就使得信息系统看起来像一个“黑箱”,进行审计时,审计人员绕过这个环节,直接用传统的手工方式下的审计方式对信息系统输入和输出的数据进行审计,而不考虑计算机系统对数据的处理过程。这在现在看来,忽略了对应用控制中最关键的一环——“处理过程”进行控制,在当今组织复杂的信息系统中,采用这种审计方式风险很大,正处于淘汰的边缘。
“穿过计算机审计(Audit Through the Computer)”是对计算机的输入、处理过程和输出过程进行审计,重点强调对处理过程进行审计。这种方法在“绕过计算机审计”方式的缺陷上加以改进,以对“处理过程”进行审计为重点。组织信息系统日益复杂,输入与输出之间的对应关系越来越模糊,而且联机处理以及在线处理使得数据处理过程几乎没有留下痕迹。审计活动只能通过评价组织系统的硬件和软件环境的控制情况,来确定“看不到”的操作是否真正可靠。在这种情况下,审计人员不得不进入系统内部,以确定数据处理、内部控制、文件内容的正确性和可靠性。这种方式的最大优点就是大大加强了信息系统审计的深度,扩大了审计范围。它可以在计算机程序中实现对内部控制的测试,还能对只有计算机才能识别的电子资料进行测试,由于在面对海量数据时,它还可以节省详细的验证输出的人力、物力和时间的耗费,为建立在内部控制评审基础上的抽样审计应用于信息系统提供了科学的依据。正因为穿过计算机审计适应了会计及管理信息系统发展的特点及要求,因此应成为信息系统审计的主要方式。穿过计算机审计包含若干种不同的具体控制测试方法,这里简单介绍测试数据法、平行模拟法。
①测试数据法
测试数据法的基本思想是,按照交易处理的基本步骤,使用有限的数据,确定每一个控制是否都按照文档规定有效地执行了。这在某种程度上运用了分层抽样的原理,使用不同层次上的数据进行处理测试,看是否与期望的输出一致,尽量分散的选择或设定有代表性的数据。使用这种方法,审计人员应相当熟悉组织的业务流程以及信息系统处理过程,并能够准确预计输入与输出的对应关系;能够合理分配每种控制的重要性;另外应分清自我设定的数据与真实的数据,不至于篡改真实数据文件。
②平行模拟法
在平行模拟法中,审计人员使用专门的审计程序(一般是通用审计软件)对组织的数据进行处理,并将其输出结果与组织的处理结果进行比较,并最终得出结论。这种思想类似于“条条道路通罗马”,即在一定输入的情况下,正确的控制过程会产生正确的输出。运用平行模拟法时,审计人员可以使用组织真实系统的输入数据、调用相同的文件,并在较关键的环节设立控制(这需要一定的经验),这样在环境一致、逻辑一致的情况下,比较模拟系统与组织真实系统的输出结果,就可以得到测试结果,从而反推组织的程序处理过程是否有效。平行模拟法要求审计人员具有良好的编程技巧或者与独立的编程人员来往密切,或者拥有可以直接使用的通用软件。
从上面两种方法来看,无论是哪种测试方法对审计人员的专业技能要求都较高,还应对计算机系统有深刻的认识,并较好地掌握计算机审计技巧,否则审计风险是很高的。
(二)外部审计方面
信息技术对于外部审计来说,更多的是利用其进行审计。
1.审计取证方法的影响
我们几乎可以放弃在理论上比较完善的抽样审计技术——因为利用计算机技术,完全可以对组织的大量数据进行全方位的详细审计,而不存在抽样审计风险;外部审计师可以拓展新的业务,包括新的鉴证服务领域,如对Web进行认证、对信息系统可靠性的鉴证等;利用信息技术可以提高分析性复核程序的效率和效果;信息技术改变了外部审计师的执业模式——将促进网络化执业模式;信息技术改变了审计方式——将实现对实时信息系统的连续审计。
2.报表审计模式的改进
信息系统环境下,外部审计风险主要来自于审计活动对信息技术环境的适应性、对内部审计的审计结果的利用、信息技术环境下审计程序的考虑以及是否采用恰当的信息技术对组织的报表进行审计。
3.审计风险加大
信息技术环境下,资源共享使得数据和程序的完整性及安全可靠性面临极大的威胁,也是审计人员最大的潜在风险所在,数据安全性审计成为审计的核心;数据和程序的储存介质,有易于修改却不留痕迹的特点,也为日后审计线索的追踪增加难度,网上无纸交易更因缺少审计线索,而将是审计的最大难题;传统手工审计方法已不适应需要,而数据文件测试方法如程序流程图、实际或模拟数据文件测试法,将成为主要的审计方法,利用计算机进行分析性审计;对于复杂的计算机应用系统,如联机系统或数据库系统,不利用计算机辅助审计技术,仅采用常规的如顺查、逆查等手工传统审计技术,根本无法达到目的;IT的运用使信息技术成为经济活动的主要载体,与之相关的资源成为主要的会计管理对象,因而相应的审计程序也随之发生变革。以上情形,如果审计活动与当前信息技术不相匹配的话,都会给审计带来极大的风险。
4.信息系统环境下的组织内部控制
外部审计对内部审计结果的利用依赖于组织的内部控制,信息技术系统既可能给组织的内部控制带来便利,也可能带来风险。信息技术系统下审计的全景是:组织使用信息技术来达到它们的目标;组织对信息技术系统的运用会影响外部审计师审计所依赖的内部控制;外部审计师审计时面对的是电子簿记而非手工账册。以下诸种情况均会给外部审计带来困难与风险:①随着网络技术的成熟及普及,使会计数据与管理数据联系起来,导致审计范围的扩大;②网上交易及数据交换,企业外部信息的引入,使审计对象复杂化;③在IT环境下,会计软件从核算型向管理型发展,主要的审计证据将来自于系统网络,属间接证据,其可靠性依赖于网络内部控制的健全有效性,审计风险将增大;④传统的财务审计模式已远不能适应计算机技术的迅速发展,审计模式将从财务审计走向计算机审计与财务审计的并行,最终必须实现二者的有机整合,否则将会给审计带来较大的风险。
5.审计程序的创新
外部审计师必须考虑组织信息技术的运用会对其审计策略产生何种影响。外部审计师在具体实施审计之前,必须对信息技术系统下的内部控制获得足够的了解,然而,它要求审计策略的一个重要影响在于外部审计师是否设计并执行符合性测试来评估控制风险水平抑或直接评价控制风险为最高水平并实施实质性测试。如果外部审计师只拟进行实质性测试,那么这种测试一定要有效的 。当许多支持财务报表认定的信息都与信息技术系统相关时,外部审计师就须考虑仅仅依靠对这些认定执行实质性测试,就想把检查风险降低到可接受水平的想法,不仅是不现实的,而且是不可能的。在这种情况下,外部审计师需要获得充分适当的审计证据表明内部控制的设计和运行都是有效的,以此来降低重大错报风险的评估水平。随着组织对信息技术系统依赖性的增大,外部审计师可获取审计证据的质量对信息技术系统中内部控制的设计和运行的有效程度的依赖性也在增大。仅仅依靠实质性测试是不够的,信息技术的广泛运用会对交易产生诸多影响,反过来它又会使得整个组织对信息技术系统依赖性的增强。这就意味着外部审计师在执行审计时,需考虑内部控制是否有效运行,能否提供充分适当的审计证据表明相关认定没有出现重大的错误。
6.实时在线审计方法的运用
信息技术革命使社会对信息质量要求不断提高,组织经营成败在很大程度上取决于其对信息技术的利用水平,而审计师的审计成败也在很大程度上取决于其对信息技术的掌控。当今社会的信息使用者不仅关注历史信息,而且更关注未来信息,对非财务信息、分部信息及信息披露的质量将有更高的要求,对外部审计人员来说,这些信息的审核,将比传统的会计报表审计更重要。外部审计师需要一些特殊技能来确定信息技术对审计的影响,并以此来了解信息技术系统下的内部控制、设计和实施符合性测试或实质性测试。当前有许多与审计相关的信息技术,统称为计算机辅助审计工具和技术(CAATTs),主要有通用审计软件、专用审计测试与分析软件、数据测试技术、嵌入式审计技术。对于审计人员来说,各软件有其各自特点,利用这些计算机审计工具可以在很大程度上给审计工作带来便利。然而这些软件使用起来又有其特定要求,合理利用这些技术对审计师是个不小的挑战,在线的实时软件和复杂的信息系统很可能同时增加审计任务的难度。
在某些情况下,外部审计师还应利用专家工作,须具备相当的能力来权衡确定是否在某项审计中需要这些技能或者是否需要利用专家工作。SAS94建议审计人员考虑,在理解信息技术控制,设计、实施信息系统的控制测试以及实质性测试时,是否需要信息技术专家的协助,以弄清信息技术对审计的影响。信息技术专家可以来自于审计组织内部,也可以来自外部。审计人员应当具备足够的信息系统知识,以便与技术专家交流审计目标,从而评价是否专门的程序才能达到审计人员的目标,并能够评估程序的结果。
另外,尽管审计信息技术五花八门,实际审计工作中碰到的问题也是千差万别,技术进步往往落后于审计对象的变化多端,网络信息技术的发展与计算机审计的研究开发的相对滞后,这都使得信息时代的审计充满了不定因素。
(三)CAATTs
信息化环境下的审计需要现代化的工具和软件辅助实施。前文已提到CAATTs技术,为了更好地应对信息技术环境下的审计风险,本小节将对其进行详细介绍。
CAATTs是一套成形的审计数据分析体系,可以帮助审计人员通过使用审计软件来抽取和分析数据,提高审计的效率和效果。然而,随着组织对内部控制需求的逐步加强,IT审计人员开始更多地使用审计工具和技术来完成信息系统风险评估与控制,所以当这些工具和技术融进CAATTs时,CAATTs已经不再是纯粹的数据分析体系了。
传统审计曾经饱受质疑,因为这种审计方式产生的审计结论只是建立在有限抽样的基础上。审计人员在成千上万笔交易中仅仅选择几十笔,就得出“控制看起来有效”的结论。管理层会抱怨这种审计结论缺乏足够的支持,而站在审计师的角度,它是按照公认审计原则的要求,做出统计学上有效的结论。当发现问题时,审计职业也饱受指责,因为管理人员并不能信服审计师所审计的范围;而审计委员会并不关心审计人员是否依据公认会计原则进行审计,他们只关心审计人员是否发现问题。
CAATTs可以解决这种冲突。CAATTs被广泛用来分析大量数据以发现异常,它不是对总体的抽样,而是全面详查。审计人员通过CAATTs来检查每笔交易记录、每项账户余额,测试数据是否存在问题。这就能够解决在抽样的情况下与审计报告的利益相关者之间的冲突,并可以大大降低抽样风险。
CAATTs还有一个优势在于帮助审计人员测试特殊的风险领域。例如,保险公司需要确保保险合同中止后无需赔付,传统审计很难对此进行测试,因为它只能在统计学上进行随机抽样,而保险公司有大量保单需要清查,仅仅抽样显然不够。CAATTs可以检查所有的保单记录,查找不实赔付,一旦发现可以记录,审计人员还能检查为什么控制失效。
CAATTs是一种审计人员可以独立控制的软件,可用于测试或分析计算机文档中的数据,同时开展其它的审计测试。CAATTs包括各式各样的个人电脑软件工具,这些工具支持灵活的、互动的和数据库式的方法,可以验证数据的准确性、完整性、真实性、合理性和及时性。需要注意的是,如果审计结论来自CAATTs的运行结果,应在工作底稿中作适当记录,并有针对性地在审计报告中讨论。
CAATTs的应用包括实质性测试、符合性测试、年终测试、分析性复核与预分析、效率分析、VFM研究、CAATTs的目标、数据文件检查、嵌入审计模块、测试数据等。下面详细介绍几种CAATTs:
1.通用审计软件
通用审计软件是一组能够读取、计算、分析计算机可读记录的程序,它的主要工作包括数据读取和转换、查询、计算、分类、抽样选择、排序、数据文件的联结比较与合并以及输出。当前的通用审计软件的优点在于:①它允许对应用程序执行测试,无需编写必备的检索软件,使审计人员日益独立于信息系统;②通用审计软件比传统的审计程序更易于执行常规操作,还可以应用很多年,开发成本可以逐年分摊,这在很大程度上提高了审计的经济性与效率性;③审计人员可以通过通用审计软件观察到审计工作的进度以及数据库中心磁盘检索的程序异常情况,为随后的审计指明方向。
2.专用审计测试与分析软件
专用审计软件是为特定领域或特定单位审计所专门设计使用的软件,它的适用范围很小,但是专用审计软件可以弥补通用审计软件面对非常专门化的文档格式结构的系统软件文档时的束手无策。很多专用审计软件并非专为审计师设计,而是为一般的计算机系统开发商或终端用户设计的,但是因为它们具备大量的专用检索或分析软件包,可以在某一专门领域内协助审计人员的工作。
3.数据测试技术
数据测试技术就是向运行系统提交一系列测试交易,用以确定组织的信息技术系统是否能够正确处理所有交易数据,并能够对处理过程实施一定的控制。同前文提到的“测试数据法”很相近,前者偏向于强调技术上的实现,后者重在强调这种理论方法。运用数据测试技术时,所测试的数据应包括计划测试的所有相关类型的数据。审计人员测试的相关程序应当是组织目前正在使用的,否则这种测试就没有意义。
4.嵌入式审计程序
嵌入式审计程序是指组织信息系统的运行程序中嵌入了审计软件。这种审计技术因为嵌入在组织系统当中,就能持续地对某些受关注的活动进行监控、不断地获取某些自动化系统的状况并立即报告,它几乎是实时的。这种嵌入式审计程序对异常情况感知的灵敏性与控制的高效性,使得它必然会在整个组织的内部控制系统和审计程序中发挥很大的作用。
(四)对于内部控制的信息化要求- COBIT控制框架
传统的内部控制过度依赖于人和制度,过度依赖于组织结构和管理流程的细分,这就使得建立内部控制的成本偏高、效率偏低、反应速度偏缓、灵活性偏差。主要原因可能在于:内部控制的配置高,但是手段低,即设计了高级的内部控制,运用的是手工手段 。传统的内部控制忽略了信息技术的作用,对信息技术的认识不到位,限制了人们对内部控制的利用。事实上,信息化内部控制具有不可替代的优势-信息技术可以降低内部控制成本,提高内部控制效率;可以将人为控制转变为程序控制,使控制变得灵活。正因为这种对信息化内部控制的要求以及它在组织当中越来越广泛的应用,使得审计师为了正常、高效地履行内部审计职责,不仅要十分熟悉组织地信息环境,如管理信息系统,还必须了解审计实务的信息化要求,比如较好地掌握一些计算机辅助审计技术方法,如前文所提到的CAATTs。更重要的是,对于内部审计师来说,应当了解信息技术治理的理论和实务,使信息技术的应用和组织的目标相一致,使得组织的价值最大化。
IT审计也包含着对信息系统本身及其相关内部控制进行考察和评价的含义。COBIT是一个国际化的、全面的IT评价工具,覆盖了当今世界上关于控制和IT的主要标准。COBIT(Control Objectives for Information and related Technology)全称是信息技术控制目标框架,由ISACF在1996年发布,分别在1998、2000、2005年进行了修订,目前较为广泛使用的是2005年发布的COBIT4.0,而最新的版本是COBIT4.1。COBIT4.1是基于CobiT4.0进行的更新,这些更新没有对COBIT4.0进行根本性的改变,而仅是调整了COBIT框架的结构,使其更有条理。
COBIT对控制的定义是:“组织为了能够预防、检测、纠正非预想情况的发生,而设计实施的一整套策略、程序、实务以及组织结构等的集合,以达到组织的各项业务目标。”这个定义与其他内部控制框架对控制的定义差不多。COBIT的最大特色在于对IT审计及其相关的活动与主体进行了定义。COBIT把IT环境下的各项活动组合成为过程,对每个过程设定了一批详细的控制目标,又把这些过程按照逻辑相关性组合成为域。COBIT有四个最高层的域,在这四个域中共包含了34个过程和318个控制目标。具体的四个域是:PO(Plan and Organize)域计划与组织(11个过程);AI(Acquire and Implement)域获取与实施(6个过程);DS(Deliver and Support)域交付与支持(13个过程);ME(Monitor and Evaluate)域检测与评估(4个过程)。COBIT还定义了组织中的4种关键信息技术资源,分别是:人员、信息、应用系统、信息基础设施。它还要求组织的信息系统能够支持内部控制系统的健全,提供了七个方面的信息标准:有效性、效率性、保密性、完整性、可用性、遵循性和可靠性。COBIT信息标准从这七个方面归纳了审计可能需要面对的风险。在信息化环境下,信息的这些特性不仅要求组织对其内部控制加以约束,还要求组织的信息系统应与一定的行业规范、计算机数据接口标准、存储特性、网络在线以及程序员本身的能力和舞弊动机相联系。审计工作应当建立在组织对COBIT框架所设定的控制目标的符合程度上。
信息技术的发展不仅给内、外部审计带来更具时代性的挑战,而且也要求加强其本身的内部控制,以防范各种风险事项的发生。